当你一次次在不同的网站输入自己的账号密码、身份证号、银行卡号时,有没有考虑过:「这安全吗?」可能对于大多数人来讲,我们无法得知自己的数据会在何时、以何种方式泄露,但至少应该知道——我要访问的网站是否值得信任。
去年 9 月,Google 宣布在 Chrome 中将所有未通过 HTTPS 加密的网站标记为「不安全」。用户在加载网页时,地址栏左侧的图标会提示安全状态,如果是 HTTPS 打头的网页会显示绿色的小锁,代表网页 「相对安全」,HTTP 打头的网页则会提示「不安全」或者「危险」。
这样做是为了帮助用户以更安全的方式浏览网页,但同时也在督促网站转向 HTTPS 模式。
为什么必须升级为HTTPS?
HTTP协议被广泛使用,对互联网发展贡献巨大,互联网从最初媒体和内容平台,进化为连接人与服务、完成交易闭环生态的平台,尤其是“互联网+”的时代,互联网上交互的数据变得更为隐私和重要,HTTP逐渐暴露出不足:
HTTP 协议通信过程是明文的,而TCP/IP协议本质上是基于存储转发机制而工作,从服务器端口到浏览器之间数据链路中,各种中间环节(比如代理,网关,路由器,WIFI热点,恶意驱动程序,恶意浏览器插件等等)可以轻易的监听和修改途经的数据报,导致信息的泄露和恶意篡改。
HTTP协议没有用户和网站的身份验证机制,用户在浏览器上敲入的网址, 有可能被DNS劫持,从而导致用户浏览器被导向了伪造的网站,用户和伪造的服务器通信,重要信息如账号密码被骗取。
HTTP通信过程被恶意劫持和篡改,但是普通用户无法分辨,会把所有问题归咎于网站或者APP开发者, 对网站和APP的正常经营和品牌造成不利影响。
黑客在HTTP通信过程中,插入恶意代码或病毒,进行双向入侵和攻击。
以某SaaS产品为例,2015年此产品商户侧PC端遭遇3次页面内容劫持,在用户使用过程中,页面中出现被恶意插入的广告和JS代码,影响页面正常功能,导致商户的后台系统无法正常使用,影响商户业务流程,导致用户投诉和退款。
据统计,在2015年Q3季度中,此产品用户端APP抽样劫持率在2-3%。
如何应对HTTP劫持?
越来越多的互联网应用选择全站HTTPS解决方案。从全球来看,全站HTTPS是一条必经路线。
互联网金融,电商,互联网支付行业早就使用全站HTTPS来提高应用的安全性。
2015年3月,百度宣布进入全站HTTPS时代,将所有对百度搜索访问变为加密状态。百度成为中国第一个进入全站HTTPS的互联网公司。
2015年5月,百度搜索引擎全面支持收录HTTPS站点,并在排名上优先对待。
2015年7月,阿里巴巴旗下淘宝、天猫全站启用HTTPS,成为中国首家进入全站HTTPS的电商平台。
2016年6月,苹果公司宣布到2017年1月1日 App Store中的所有应用都必须启用 App TransportSecurity安全功能。
App Transport Security(ATS)是苹果在iOS 9中引入的一项隐私保护功能,屏蔽明文HTTP资源加载,连接必须经过更安全的HTTPS。
葫芦娃集团旗下浙江葫芦娃提供的互联网安全认证全面解决方案可以满足企业解决HTTPS加密的需求。葫芦娃拥有丰富的应对和解决各种复杂及突发情况的专业服务支持团队,一对一为用户提供最优质的本异地化服务与技术支持,即刻部署SSL数字安全证书即刻满足网站安全的要求。
分割线
选择HTTPS加密,相信很多人通过上面的内容已经了解,但对于全站HTTPS还有很多人有疑问,甚至存在误区,下面小编为你解答~
1.非敏感页面不需要 HTTPS?
• HTTPS
只在登录页和交易页启用HTTPS,这种方式不能为用户提供更好更强的防护。 在没有HTTPS时,以搜索为例,弹窗广告只是隐患之一,流量劫持不仅能偷窥用户上网数据,还被误导至仿冒的“钓鱼网站”。
2. 全站HTTPS的优势
HTTPS
1.保护用户隐私;
2.提升网站访问中的信任度;
3.提升网站的搜索排名;
4.使网站速度更快;
5.防止流量劫持。
······
3. 全站HTTPS已成为趋势
HTTPS
HTTPS对于互联网安全非常重要,只有全站切换到HTTPS之后,我们才可以更加安全的上网。 全站HTTPS在国外已经非常普及,如Google、Facebook、Twitter,甚至是维基百科都已经采用了全站HTTPS。 统计数据表明,国外的HTTPS流量已经超过全网流量的50%,而且这一比例还在持续增长。
目前,国内的百度、腾讯、阿里、京东、银联、知乎、豆瓣、虎嗅等众多知名互联网服务,也陆续加入全站HTTPS的行列。互联网所承载的机密信息远不只是密码,搜索内容同样属于敏感信息。
【版权声明】:本站内容来自于与互联网(注明原创稿件除外),供访客免费学习需要。如文章或图像侵犯到您的权益,请及时告知,我们第一时间删除处理!谢谢!